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Prufungsantrag gem. § 44 PatG ist gestellt 

<§) Fehlertolerante Regel- und/oder Steuerungseinrichtung fur ein physikalisches System, insbesondere 
Fahrdynamikregeleinrichtung fur ein Kraftfahrzeug 

® Die Erfindung faezteht sich auf eine Regel- und/oder 
Steuerungseinrichtung mit einer in Abhangigkeit von zuge- 
fuhrten ZustandsgroBenwerten arbeitenden Reglereinheit 
und einer ZustandsgroSenermittlungseinheit zur Ermittlung 
der der Reglereinheit zuzufuhrenden Zustandsgrd&enwerte, 
wobei die jeweilige Zustandsgro&e uber einen oder zwei 
paraliele physikalische Kanale gemessen und/oder uber 
einen anaiytischen Kanal geschatzt wird. 
Erfindungsgemafc beinhaltet die ZustandsgrdSenermitt- 
lungseinhett ein Fehlerbehandlungsfilter, das steuerbar die 
Zufuhrung der Zustandsgro&enwerte zur Reglereinheit frei- 
gibt oder bJockiert, sowie eine Fehlererkennungs- und 
-isolationslogikeinheit, die einen in einem Kanal auftreten- 
^ den Fehier erkennt und fur wenigstens eine uber zwei 
paraliele physikalische Kanale und einen anaiytischen Kanal 
redundant ermittette Zustandsgrd&e einen dort erkannten 
Fehier mittels einer Einheit zur Erzeugung funktionaler 
Redundanz oder einer Beobachtereinheit des anaiytischen 
Kanals isoiiert und die das Fehlerbehandlungsfilter zur 
Biockierung des zum erkannten bzw. isolierten Fehier geho- 
rigen Kanals ansteuert Oabei ist die Regeleinheit zum 
Betrieb in unterschiedlichen Regeigutestufen abhangig da- 
von, welche der Kanale als fehlerfrei erkannt sind, ausgelegt. 
Verwendung z. B. als Fahrdynamikregeleinrichtung fur ein 
Kraftfahrzeug. 



Die foJgenden Angaben sind den vom Anmelder eingereichten Unterlagen entnommen 
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Beschreibung 

Die Erfindung bezieht sich auf eine fehlertolerant 
ausgelegte Regei- und/oder Steuerungseinrichtung fur 
ein physikalisches System nach dem Oberbegriff des 5 
Anspruchs 1, beispielsweise in Form einer Fahrdyna- 
mikregeleinrichtung fur ein Kraf tf ahrzeug. 

Es ist bekannt, die ein zu regelndes physikalisches 
System charakterisierenden, der Reglereinheit zuge- 
fuhrten ZustandsgrdBen zur Bereitstellung von Fehler- 10 
toleranz redundant uber mehrere Ermittlungskanale 
parallel zu ermitteln. Damit die Einrichtung fiir eine 
derartige, redundant ermittelte ZustandsgroBe neben 
einer Fehiererkennung auch eine Fehlerisolation, d h. 
eine Bestimmung desjenigen Kanals, in weichem ein er- 15 
kannter Fehler aufgetreten ist, durchzuftthren vermag, 
sind mindestens drei parailele, voneinander unabhangi- 
ge Ermittlungskanale erforderlich. Denn bei nur zwei 
parallelen Kanalen mit voneinander abweichenden Zu- 
standsgroBenwerten laBt sich der fehlerbehaftete Kanal 20 
nicht ohne weitere ZusatzmaBnahmen ausreichend si- 
cher erkennen. Es ist daher bereits bekannt, eine Zu- 
standsgroBe Ciber drei parailele physikalische Kanale, 
d h. drei unterschiedliche Sensoren, zu erfassen und an- 
schlieBend fiber eine Voter-Logik den gegebenenfalls 25 
fehlerbehafteten Kanal wegzuschalten und ais Zu- 
standsgroBenwert einen der Werte der beiden anderen 
Kanale oder einen aus einer Verknfipfung dieser beiden 
Werte erhaltenen Wert zu verwenden. Problempunkte 
einer solchen physikalischen Dreikanaligkeit sind aller- 30 
dings der damit einhergehende erhohte Realisierungs- 
aufwand, das sich daraus ergebende erhohte Gewicht 
der Sensorik und deren erhohter Platzbedarf, die Ge- 
fahr der Reduzierung der Gesamtsystemzuverlassigkeit 
und die Anforderung, die Voter-Logik selbst fehlertole- 35 
rantauszulegen. 

Als Ausweg wurde bereits das Konzept der soge- 
nannten analytischen Redundanz vorgeschlagen, bei der 
die Dreikanaligkeit zur Ermittlung einer ZustandsgroBe 
durch zwei physikalische Kanale und einen analytischen 40 
Kanal bereitgestellt wird In einem solchen analytischen 
Kanal wird auf der Grundlage eines mathematischen 
Modells oder einer Wissensbasis redundante Informa- 
tion generiert, wobei dem analytischen Kanal eingangs- 
seitig die erforderlichen ZustandsgroBenwerte je nach 45 
verwendetem Modeil zugeffihrt werden. Der analyti- 
sche Kanal kann ein einfacher funktionaler Kanal sein, 
der die relevante redundante Information anhand eines 
vorgegebenen funktionaien Zusammenhangs aus den 
eingangsseitig zugefuhrten ZustandsgrdBenwerten be- 50 
stimmt Aiternativ bzw. weiterfiihrend sind sogenannte 
Beobachterkonzepte bekannt, bei denen der analytische 
Kanal von einem sogenannten Beobachter bereitge- 
stellt wird, in weichem das gesamte oder Teile des zu 
regelnden physikalischen Systems modelliert und dar- 55. 
aus ein Schatzwert der relevanten ZustandsgroBe ge- 
wonnen wird, wobei eine nachgeschaltete oder inte- 
grierte Entscheidungslogik die Ausgangssignale der 
physikalischen Kanale mit dem zugehorigen Ausgangs- 
signal des oder der Beobachtereinheiten vergleicht und eo 
auf diese Weise eine Fehiererkennung bzw. -lokalisation 
vornimmt Als Beobachter werden beispielsweise Kal- 
man-Filter verwendet 

Derartige Regeleinrichtungen sind beispielsweise in 
den Zeitschriftenartikeln P.M. Frank "Sicherheit aus 65 
dem Rechner", Elektrotechnik, 68, H. 9, 30.05.1986, Seite 
26 und J.C. Debaat und W.G Merrill, "Implementation of 
Sensor Failure Detection for Turbofan Engines", IEEE 
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Control Systems Magazine, Juni 1990, Seite 29 beschrie- 
ben. 

In der Offenlegungsschrift DE42 26 749A1 ist ein 
Verfahren zur Schatzung des Schwimmwinkels fiir ein 
Fahrzeug offenbart, bei dem diese Schatzung mittels 
eines Beobachters durchgefuhrt wird, dem hierzu als 
Eingangsinformationen die Langsbeschleunigung, die 
Raddrehzahlen, die Querbeschleunigung und die Gier- 
winkelgeschwindigkeit des Fahrzeugs zugeffihrt wer- 
den. 

In der Offenlegungsschrift DE4214 642A1 ist ein 
Fahrdynamikregelungsverfahren beschrieben, bei dem 
eine ZustandsgrdBe zum einen durch Messung Qber ei- 
nen physikalischen Kanal und zum anderen durch 
Schatzung uber einen analytischen Kanal ermittelt wird, 
wobei als maBgeblicher ZustandsgroBenwert derjenige 
des analytischen Kanals verwendet wird, wenn der phy- 
sikalische Kanal ausfallt, wahrend ansonsten derjenige 
des physikalischen Kanals verwendet wird 

Aus den Offenlegungsschriften DE 41 00 501 Al und 
DE 42 44 014 Al sind Verfahren und Einrichtungen zum 
Erkennen und gegebenenfalls Identifizieren von Feh- 
Iern in ZustandsgroBensensorkanalen offenbart, bei de- 
nen redundante, geschatzte ZustandsgroBeninformatio- 
nen unter Verwendung einer Assoziationsmatrix bzw. 
eines neuronalen Netzwerks generiert werden. 

Aus der Offenlegungsschrift DE 42 00 061 Al ist die 
Verwendung eines analytischen Kanals zur Schatzung 
der Quergeschwindigkeit und/oder des Schwimmwin- 
kels eines Fahrzeugs bekannt, wobei als Eingangsgro- 
Ben der Lenkwinkel, die Langsgeschwindigkeit, die 
Gierwinkelgeschwindigkeit und die Querbeschleuni- 
gung des Fahrzeugs oder aiternativ die gemessenen 
oder geschatzten Bremsdriicke sowie die Radgeschwin- 
digkeiten verwendet werden. 

In der Offenlegungsschrift DE 43 40 746 Al ist eine 
Diagnoseeinrichtung fur ein dynamisches System, insbe- 
sondere eine Einrichtung zur Diagnose der Reifenluft- 
drucke oder von Anderungen des Fahrzeugaufbauge- 
wichts, offenbart, bei der ein Beobachterkonzept zur 
Stdrungsermittlung eingesetzt wird. 

Der Erfindung liegt als technisches Problem die Be- 
reitstellung einer Regeleinrichtung der eingangs ge- 
nannten Art zugrunde, welche hinsichtlich der Ermitt- 
lung wenigstens einer relevanten ZustandsgroBe 
zwecks Fehlertoleranz wenigstens dreikanalig redun- 
dant ausgelegt ist, welche die Erkennung und gegebe- 
nenfalls Isolation fehlerbehafteter Kanale sowie einen 
in seiner Gute auf die jeweils noch als fehlerfrei erkann- 
ten Kanale abgestimmten Regelungsbetrieb ermoglicht 
und welche bei gegebener Funktionalitat mit ver- 
gleichsweise geringem Aufwand realisierbar ist 

Dieses Problem wird durch eine Regeleinrichtung mit 
den Merkmalen des Anspruchs 1 gelost Dazu beinhaltet 
die ZustandsgrSBenermittlungseinheit eine Fehlerer- 
kennungs- und -isolationslogikeinheit, die in den Zu- 
standsgroBenermittlungskanalen auftretende Fehler zu 
erkennen und lokalisieren vermag. Dabei ist fur wenig- 
stens eine ZustandsgroBe, zweckmaBigerweise jeweils 
fiir die besonders sicherheitskritischen ZustandsgrdBen, 
eine dreikanalige ZustandsgroBenermittlung fiber zwei 
physikalische Kanale und einen analytischen Kanal vor- 
gesehen, wobei letzterer in Form einer einfachen funk- 
tionaien Redundanz oder aber vorzugsweise im Rah- 
men eines Beobachterkonzepts fiber eine Beobachte- 
reinheit bereitgestellt wird. In Verbindung mit dem Vor- 
handensein des analytischen Kanals ist gleichzeitig eine 
Fehlerisolation durch Voten zwischen dem vom analyti- 



JSDOCID: <DE_19607429A1_I_> 



DE 196 07 429 Al 



schen Kanal geschatzten Wen und den beiden, uber die 
zwei parallelen physikalischen Kanale erhaltenen Wer- 
ten innerhalb der den analytischen Kanal realisierenden 
Einheit moglich, ohne daB dazu eine zusatzliche Voter- 
Logik bendtigt wird. Durch geeignete Ansteuemng ei- 
nes Fehlerbehandlungsfilters wird erreicht, daB nur die 
jeweils noch mit ausreichender Zuverlassigkeit ermittel- 
ten ZustandsgroBenwerte an die Reglereinheit geleitet 
werden, wahrend andere ZustandsgroBenwerte wegge- 
filten werdea Ober die jeweils noch eingangsseitig an- 
stehenden ZustandsgroBenwerte oder gesteuert von 
der Fehlererkennungs- und -isolationsiogikeinheit kann 
die Reglereinheit abgestuft in der jeweils noch bestmog- 
lichen Regelgiitestufe betrieben werden, so daB je nach 
Wichtigkeit der betreffenden ZustandsgrdBe bei Auf- 
treten eines Fehlers in einem zugehdrigen Ermittiungs- 
kanal die Regelung nicht unbedingt vollstandig deakti- 
viert zu werden braucht, sondern abgestimmt auf die 
Art des oder der Fehler mit einer niedrigeren Regelgii- 
testufe oder eventuell sogar mit gleichbleibender Regei- 
gutestufe fortgesetzt werden kann- Durch die Verwen- 
dung eines jeweiiigen analytischen Kanals anstelle eines 
dritten parallelen physikalischen Kanals wird der Reali- 
sierungsaufwand bei gegebener Funktionalitat gering 
gehalten. 

In einer Weiterbiidung der Erfindung nach Anspruch 

2 wird eine der ZustandsgroBen lediglich uber einen 
analytischen Kanal als Schatzung ermittelt, wobei die 
Fehlererkennungs- und -isolationsiogikeinheit so einge- 
richtet ist, daB sie erkennt, wenn der analytische Kanal 

\ Si- aufgrund eines oder mehrerer erkannter Fehler in der 
; Ennittlung seiner EingangsgrdBen keine ausreichend 
M ->j> zuverlassige Schatzung mehr durchzufuhren vermag, 
;\ ; ;wonach sie uber den Fehlerbehandlungsfilter eine Un- 
• \ terdruckung dieser geschatzten ZustandsgrdBe veran- 
laBt 

In einer Weiterbiidung der Erfindung nach Anspruch 

3 ist die Fehlererkennungs- und -isolationsiogikeinheit 
so ausgelegt, daB sie zu erkennen vermag, wenn auf- 
grund erkannter Fehler in den ZustandsgroBenermitt- 
lungskanalen die noch vorhandene ZustandsgrdBenin- 
formation nicht mehr zur Durchfuhrung einer zuverlas- 
sigen Regelung des physikalischen Systems ausreicht, 
woraufhin sie den RegelungseinfluB auf das physikali- 
sche System unterbricht 

In Anspruch 4 sind vorteilhaf te Beobachterkonzepte 
fur die Fehlererkennungs- und -isolationsiogikeinheit 
angegeben. 

Anspruch 5 charakterisiert eine komfortable und mit 
relativ geringem Aufwand realisierbare Fahrdynamik- 
regeleinrichtung, bei der die wichtigen ZustandsgroBen 
fehlertolerant jeweils einschlieBlich eines analytischen 
Kanals mehrkanalig ermittelt werden und die Regelung 
abgestimmt auf eventuelle Fehler bei der Zustandsgrd- 
Benermitdung hinsichdich der RegelgCte mehrstufig er- 
folgt 

Eine bevorzugte Ausfuhrungsform der Erfindung ist 
in den Zeichnungen dargestellt und wird nachfolgend 
beschrieben. Hierbei zeigen: 

Fig. 1 ein schematisches Blockschaltbild einer fehler- 
toleranten Fahrdynamikregeleinrichtung eines Kraft- 
fahrzeugs, 

Fig. 2 eine schematische Funktionsstrukturdarstel- 
lung von Teilfunktionen einer in Fig. 1 verwendeten Zu- 
standsgroBenermittlungseinheit und 

Fig. 3 eine schematische Blockdarstellung einer fur 
die Einrichtung von Fig. 1 geeigneten, dreikanalig re- 
dundanten Gierwinkelgeschwindigkeitsermittlung. 



Ausgangspunkt fflr die Verwendung einer fehlertole- 
ranten Fahrdynamikregeleinrichtung, wie in Fig. 1 dar- 
gestellt, ist die Tatsache, daB in ein solches, die Fahrdy- 
namik des Kraftfahrzeugs regelndes System diverse 
5 sensorielle EingangsgrdBen einfiieBen, die unmittelbar 
iiber wenigstens einen physikalischen Kanal gemessen 
und/oder iiber einen analytischen Kanal, beispielsweise 
unter Verwendung eines Beobachterkonzepts, ge- 
schatzt werden, wie in den eingangs erwahnten Druck- 
io schriften beschrieben. Treten Fehler oder Ausfalle in- 
nerhalb der verwendeten Sensoren auf, so beeinflussen 
diese sowohl den Beobachter, wodurch Schatzfehler 
entstehen, als auch den Fahrdynamikregler mit gegebe- 
nenfalls unerwunschten Folgen. Aus diesem Grund ist 
15 man bestrebt, Fehler vor allem innerhalb der Sensorik, 
grundsatzlich jedoch auch innerhalb der Aktuatorik und 
der verwendeten Rechnerhardware zu einem moglichst 
fruhen Zeitpunkt zu detektieren und derart zu behan- 
deln, daB der Beobachter bzw. die Regelung fehlerfrei 
20 funktionierea 

Mit dem in Fig. 1 gezeigten System lassen sich belie- 
bige Einfach- und auch teilweise Mehrfachfehler inner- 
halb der fiir die Fahrdynamikregeiung erforderlichen 
bzw. vorhandenen Sensorik unter Bereitstellung von 
25 Fehlertoleranz jedenfalls fur die besonders sicherheits- 
kritischen ZustandsgroBen erkennen, isolieren tmd be- 
handeln. Unter Isolierung ist hierbei nach Auftreten ei- 
nes Fehlers die Fahigkeit zur Identifizierung des fehler- 
behafteten ZustandsgroBenermittlungskanals zu verste- 
30 hen. Zu diesem Zweck beinhaltet die Fahrdynamikre- 
geleinrichtung von Fig. 1, durch die das Fahrzeug (1) 
von einem Fahrdynamikregler (2) in seiner Fahrdyna- 
mik geregelt wird, eine speziell ausgelegte Zustandsgro- 
Benermittlungseinheit (3\ die neben der ublichen Senso- 
35 rik (4) um eine Fehlererkenmmgs- und -isolationsiogik- 
einheit (5) und eine Fehlerbehandlungseinheit (6), z. B. in 
Form eines Filters, erweitert ist Gegenuber einem her- 
kommlichen Beobachterkonzept, bei dem innerhalb ei- 
ner Fahrdynamikregeiung ein Beobachter zur Zu- 
40 standsgrdBenschatzung, z. B. zur Schatzung des 
Schwimmwinkels, eingesetzt wird, ist beim vorliegen- 
den System der Beobachter zum Fehlerbehandlungsfil- 
ter (6) mit der vorgeschalteten Fehlererkennungs- und 
-isolationsiogikeinheit (5) erweitert 
45 Wie aus Fig. 1 zu erkennen, werden die von der Sen- 
sorik (4) erfaBten ZustandsgroBenwerte (L) der Fehler- 
erkennungs- und -isolationsiogikeinheit (5) und dem 
Fehlerbehandlungsfilter (6) parallel zugefdhrt Dabei 
werden diejenigen ZustandsgroBen, fur die Fehlertole- 
50 ranz gefordert wird, uber zwei paraOele Sensoren, d. h. 
uber zwei physikalische Kanale, redundant erfaBt Im 
Fehlerfall, der durch die Fehlererkennungs- und -isola- 
tionsiogikeinheit (5) detektiert wird, kann dadurch der 
als fehlerhaft identifizierte physikalische Kanal im Feh- 
55 lerbehandlungsfilter weggeschaltet werden, ohne daB 
die Beobachtbarkeit der relevanten SchatzgroBen be- 
eintrachtigt wird. Das Fehlerbehandlungsfilter (6) leitet 
somit die aus Messungen gewonnenen ZustandsgroBen- 
werte (z*) unmittelbar an den Fahrdynamikregler (2) 
60 weiter und sorgt daruber hinaus fur die Bereitstellung 
nicht gemessener, geschatzter ZustandsgroBenwerte 
(5c), wie sie mittels eines Beobachters gewonnen werden, 
als weitere EingangsgroBen for den Fahrdynamikregler 
(2). Die Wegschaltung des fehlerbehafteten physikali- 
65 schen Kanals durch das Fehlerbehandlungsfilter (6) wird 
uber eine Steuerleitung (5a) von der Fehlererkennungs- 
und -isolationsiogikeinheit (5) ausgelost, die gleichzeitig 
die Nichtberucksichtigung dieses fehlerhaften Kanals in 
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ihrerBeobachtereinheitvoraehmenkann.FurdieReali- einen induktiven oder Hall-Sensor an alien vier Fahr- 
sierung des Beobachterkonzepts in der Fehlerken- zeugradern, wie ffir Antiblockiersysteme gebrauchlich 
nungs- und -isolationslogik (5) und dem Fehlerbehand- Diese physikalisch vierkanalige Struktur ermoglicht ei- 
lungsfilter (6) ist des weiteren das Ausgangssignal (u) ne Plausibilitatspriifung sowie Fehlerlokalisation und 
des Fahrdynamikreglers (2) zu diesen beiden Einheiten 5 -behandlung, die vier Kanale besitzen jedoch unter- 
(5,6)rfickgeffihrt schiedliche Aussagequalitaten, da die stark schlupfbe- 

Des weiteren ist die Fehlererkennungs- und -isola- haftete Raddrehzahlinformation von den Antriebsra- 
tionslogikeinheit (5) so ausgelegt, daB sie neben der Er- dern nicht permanent fur die Regelung geeignet ist, so 
kennung und Isolation von Fehlern festzustellen ver- daB es sich bezfiglich der Regelung um eine 1-von- 
mag, ob das Fehlerbehandlungsfilter (6) mit den jeweils 1.0 2-Struktur bezfiglich der beiden nicht angetriebenen 
verbliebenen, nicht fehlerbehafteten physikalischen Ka- Rader handelt Eine nachgeschaltete Einheit (17) wan- 
nfilen in der Lage ist, die fur den Fahrdynamikregler (2) delt die Raddrehzahlinformation in eine Langsge- 
bendtigten SchatzgrdBenwerte (£) noch hinreichend gut schwindigkeitsinformation um. Bei Funktion des 
zu schatzen. Ist dies nicht der Fall und somit die Beob- Schwimmwinkelbeobachters wird jedoch dessen 
achtbarkeit als Folge einer gegenQber der Grundkonfi- 15 Schatzwert der Langsgeschwindigkeit an die Fahrdyna- 
guration zu stark verringerten Anzahl funktionstuchti- mikregelung weitergeleitet 

ger Sensorkanale nicht langer gewahrleistet, wird das Neben diesen auf Messungen gestutzten Zustands- 
Fehlerbehandlungsfilter (6) insgesamt durch die Fehler- groBen werden als weitere ZustandsgroBen der Lenk- 
erkennungs- und -isoiationsiogikeinheit (5) weggeschal- winkel am Rad und der Schwimmwinkel verwendet, wo- 
tet und die Regelung so umkonfiguriert, daB sie ohne die 20 bei der Lenkwinkel am Rad iiber eine Lenkwinkelmo- 
SchatzgrdBen (St) noch funktioniert, soweit dies moglich torausgangsgroBe bestimmt wird, wahrend der 
ist Dazu ist der Fahrdynamikregler (2) zum Betrieb in Schwimmwinkel (p) als die in Fig. 1 gezeigte Schatzgro- 
unterschiedlichen Regelgfitestufen ausgelegt und kann Be (*) vom Beobachter im Fehlerbehandlungsfilter (6) 
iiber eine zugehdrige Steuerleitung (5b) von der Fehler- geschttzt wird. Dazu beinhaltet das Fehlerbehandlungs- 
erkennungs- und -isoiationsiogikeinheit (5) so angesteu- 25 filter (6) einen Systemmodellteil (17), einen Beobach- 
ert werden, daB er jeweils auf der momentan noch maxi- tungsmodellteil (18) und ein nachgeschaltetes Kalman- 
mal moglichen Regelgfitestufe arbeitet, worauf weiter Filter als Schwimmwinkelbeobachter (19), wobei aus 
unten detaillierter eingegangen wird. Die Fehlererken- Fig. 2 hervorgeht, welche EingangsgrdBen in jede der 
nungs- und -isoiationsiogikeinheit (5) uberwacht auBer- drei Komponenten einflieBen. Neben dieser Schat- 
dem, ob die dem Fahrdynamikregler (2) nach Auftreten 3,3 zungsfunktion leitet das Fehlerbehandlungsfilter (6) die 
von Fehlern noch vom Fehlerbehandlungsfilter (6) zu- aus fehlerfreien physikalischen Kanalen ermittelten Zu- 
gefuhrten gemessenen und/oder geschatzten Zustands- standsgroBen an den Fahrdynamikregler (2) weiter, der 
groBenwerte (z # , x) noch zur Durchfuhrung einer aus- daraus als fahrdynamikregelndes Ausgangssignal den 
reichend zuverlassigen und sicheren Fahrdynamikrege- Lenkwinkelsollwert (8 S ) erzeugt Die weitergeleiteten 
lung ausreichen. Wenn dies nicht mehr der Fall ist, deak- 35 ZustandsgroBen sind der Lenkradwinkel (8lX die Langs- 
tiviert die Fehlerkennungs- und -isoiationsiogikeinheit geschwindigkeit (v x ), die Gierwinkelgeschwindigkeit ( 
(5) den Fahrdynamikregler (2) insgesamt oder jedenfalls y), die Gierwinkelbeschleunigung (Vp), die Schwer- 
hinsichtlich der Weiterleitung seines Reglerausgangssi- punktsquerbeschleunigung (ays) und der Schwimmwin- 
gnals(u). kel(p). 

In Fig. 2 ist schematisch die Funktionsweise des 40 Des weiteren sind diese gemaB Fig. 2 fiber physikali- 
Schwimmwinkelbeobachters vereinf acht veranschau- sche Kanale erfaBten ZustandsgroBen der Fehlererken- 
licht Die Sensorik umf aBt eine Lenkradwinkelsensorik nungs- und -isoiationsiogikeinheit (5) zugefuhrt, die mit- 
(7), eine Langsbeschleunigungssensorik (8), eine Quer- tels zusatzlicher Bereitstellimg analytischer Kanale 
beschleunigungssensorik (9, 10), eine Gierwinkelge- nicht nur eine Fehlererkennung, sondern jedenfalls fiir 
schwindigkeitssensorik (11) und eine Raddrehzahlsen- 45 einen Teil der ZustandsgroBen auch eine Fehlerisolation 
sorik (12). Dabei ist die Lenkradwinkelsensorik (7) mit- und Fehlerbehandlung leistet Eine Moglichkeit der 
tels eines sich selbst priifenden Sensors und eines weite- Realisierung eines analytischen Kanals fur eine fiber 
ren Sensors physikalisch zweikanalig fehlertolerant ge- zwei physikalische Kanale redundant gemessene Zu- 
staltet Die Langsbeschleunigungssensorik (8) ist physi- standsgroBe besteht in der Bereitstellung einer funktio- 
kalisch einkanalig implementiert und wird lediglich zur 50 nalen Redundanz, bei der physikalische Zusammenhan- 
Schwimmwinkelschatzung bendtigL Die Querbeschleu- ge zwischen der Information der beiden physikalischen 
nigungssensorik beinhaltet einen vorderen Querbe- Kanale sowie zusatzlicher Information beispielsweise 
schleunigungssensor (9) und einen hinteren Querbe- fiber andere ZustandsgroBen ausgenutzt werden. Ein 
schleunigungssensor (10), mit deren Ausgangssignale solches Konzept ist in Fig. 3 schematisch und beispiel- 
zum einen in einer nachgeschalteten Einheit (13) die 55 haft fur die Ermittlung der Gierwinkelgeschwindigkeit ( 
Schwerpunktsquerbeschleunigung (a ys ) und zum ande- \j/) veranschaulicht Ober zwei Gierwinkelgeschwindig- 
ren in einer weiteren nachgeschalteten Einheit (15) die keitssensoren (Si, S 2 ) werden unabhangig voneinander 
Gierwinkelbeschleunigung (ty) ermittelt werden. Die zwei Gierwinkelgeschwindigkeits-MeBwerte ( \j/ m i, 
Gierwinkelgeschwindigkeitssensorik (1 1) beinhaltet \j/m2) generiert und einem funktionalen Kanal (A) zuge- 
zwei voneinander unabhangige Gierwinkelgeschwin- eo fuhrt, der daraus und/oder aus weiteren Zustandsgro- 
digkeitssensoren. Das Gierwinkelgeschwindigkeitssi- Ben einen analytischen Gierwinkelgeschwindigkeits- 
gnal wird hierbei zu einer Einheit (14) zur Bestimmung wert ( \i/ a ) beispielsweise aufgrund eines bekannten ma- 
der Gierwinkelbeschleunigung abgezweigt, wonach ei- thematischen Zusammenhangs mit anderen GrdBen, 
ne nachgeschaltete Vergleichseinheit (16) aus diesem wie den einzelnen Radgeschwindigkeiten, ermittelt 
Beschleunigungswert und dem fiber die Querbeschleu- 55 Gleichzeitig bestimmt der analytische Kanal (A) die je- 
nigungssensorik (9, 10, 15) erhaltenen Beschieunigungs- weilige Abweichung zwischen dem analytischen Wert ( 
wert die endgfiltige Gierwinkelbeschleunigung (iff) be- \j/ a ) und den gemessenen Werten ( ^mi, Vm2), wodurch 
stimmt. Die Raddrehzahlsensorik (12) beinhaltet jeweils nicht nur ein eventueiler Fehler erkannt, sondern zudem 
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der verursachende Kanal aufgefunden werden kann. 
Durch Wegschalten des betreffenden Kanals laflt sich 
daraufhin dieser Fehler behandeln, und als Ausgangssi- 
gnal wird ein mit hoher Sicherheit korrektes Zustands- 
graBensignal erhalten, das mindestens auf einem oder 
meistens zwei fehlerfreien Kanalen basiert Diese Art 
der Datenfusion, d h. der Gewichtung der zur Verffi- 
gung stehenden Sensorinformationen entsprechend ih- 
rer Zuverlassigkeiten und spezif iziert durch ihre stocha- 
stischen Eigenschaften, ermoglicht eine Erhdhung der 
MeBgenauigkeit Das Vorsehen eines analytischen Ka- 
nals anstelle eines dritten physikalischen Kanals bedeu- 
tet zudem eine Einsparung eines Sensors nebst dessen 
Energieversorgung und Verkabelung, d h. eine Einspa- 
rung an Platzbedarf, Kosten und Gewicht Zudem wird 
keine separate Voting-Logik benotigt 

Alternativ zu einem funktionalen Kanal kann der ana- 
lytische Kanal durch Verwendung eines Beobachter- 
konzepts bereitgestellt werden, was insbesondere dann 
zweckmafiig ist, wenn einf ache funktionale Zusammen- 
hange zwischen ZustandsgroBen fehletL Im voriiegen- 
den Fall ist die Verwendung von Beobachtern ebenfalls 
zu bevorzugen, da das Fahrverhalten eines Kraftfahr- 
zeugs im fahrdynamischen Grenzbereich sehr komplex 
ist und gerade hier die voile Leistungsfahigkeit der 
Fahrdynamikregelung gewunscht wird Neben der Ver- 
wendung einer einzigen Beobachtereinheit zur Ober- 
wachung samtKcher sicherheitsrelevanter Sensoren 
bzw. Komponenten ist die Verwendung von Beobach- 
terbanken moglich, bei denen fur jeden zu iiberwachen- 
den Kanal eine Beobachtereinheit vorgesehen ist Dabei 
kann es fur weniger komplexe Modelle ausreichen, in 
jede Beobachtereinheit nur einen Sensor einflieBen zu 
lassen, wahrend eine mit hoherem Berechnungsaufwand 
verbundene Methode darin besteht, jeden Beobachter 
rnit einem unterschiedlichen Satz von EingangsgrdBen 
zu speisen, wodurch die Beobachterbank sehr robust 
gegeniiber Modellierungsfehlern wird 

Beispielsweise kann fur eine physikalisch zweikanalig 
erfaBte Querbeschleunigung jedem physikalischen Ka- 
nal eine Beobachtereinheit zugeordnet sein, wobei in 
jede Beobachtereinheit alle ZustandsgroBeninformatio- 
nen einflieBen mit Ausnahme der von der jeweils ande- 
ren Beobachtereinheit zu schatzenden AusgangsgroBe. 
Einer dritten Beobachtereinheit als Referenz konnen 
alle ZustandsgroBeninformationen zugefuhrt sein. Eine 
Korrelation der Ausgangssignale der den beiden physi- 
kalischen Kanalen zugeordneten Beobachtereinheiten 
ermoglicht eine Fehlererkennung, wahrend eine jeweili- 
ge Korrelation jeder dieser beiden Beobachtereinheiten 
mit der Referenz- Beobachtereinheit nebst anschlieBen- 
dem Vergleich der Korrelationsergebnisse die Lokali- 
sierung eines aufgetretenen Fehlers im einen oder ande- 
ren physikalischen Kanal der Querbeschleunigungser- 
mittlung ermoglicht Fur weitere Details von Beobach- 
terkonzepten kann auf die eingangs genannten Druck- 
schriften und die dort zitierte Literatur verwiesen wer- 
den. 

Die F&higkeit der soichermaBen ausgelegten Zu- 
standsgroBenermittelungseinheit (3) zur Erkennung, 
Isolation und Behandlung von Fehlern wird vorliegend 
dazu ausgenutzt, die Fahrdynamikregelung mit abge- 
stufter Regelgute je nachdem, ob und wenn ja welche 
Fehler aufgetreten sind, zu betreiben. Dazu ist der Fahr- 
dynamikregler (2) fiir einen Betrieb in mehreren Regel- 
giitestufen ausgelegt, wozu er einen geeigneten modula- 
ren Aufbau besitzt, so daB jedes Reglermodul eine Fahr- 
dynamikregelung mit einer zugehorigen Regelgute er- 
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laubt Ober eine Steuerleitung (5b) aktiviert die Fehler- 
erkennungs- und -isolationslogikeinheit (5) jeweils das- 
jenige Modul des Fahrdynamikreglers (2), mit dem die 
Fahrdynamikregelung in der situationsabhangig je nach 
5 aufgetretenen Fehlern noch maximal mdglichen Regel- 
gute durchgefuhrt wird Im einzelnen ergibt sich hierzu 
folgendes. 

Bei Fehlerfreiheit des Systems liegen die GroBen 
Lenkradwinkel (Sl), LSngsgeschwindigkeit (v x ), Gier- 

io winkelgeschwindigkeit ( vjf) und Querbeschleunigung 
(a y ) fehlertolerant in dem Sinne vor, daB uber physikali- 
sche Kanale und analytische Kanale Fehler zuverlassig 
von der Fehlererkennungs- und -isolationslogikeinheit 
(5) erkannt, lokalisiert und behandelt werden kdnnen, so 

15 daB die Information fiber die betreffende Zustandsgro- 
Be auch nach Auftreten eines Fehlers erhalten bleibt 
Nach einer Fehlerbehandlung degeneriert die zugehori- 
ge ZustandsgroBe meist zur Fehlersicherheit, was be- 
deutet, daB ein weiterer, sich auf diese ZustandsgroBe 

20 beziehender Fehler innerhalb der Sensorik (4) zwar 
noch erkannt, jedoch nicht mehr zuverlassig auf einen 
Kanal lokalisiert werden kann. Die betreffende Zu- 
standsgroBeninformation wird dann von der Fehlerer- 
kennungs- und -isolationslogikeinheit (5) fur die Fahrdy- 

25 namikregelung verworfen, was zu einer Abnahme der 
Regelgute, jedoch nicht zwangslaufig zum Ausfall der 
gesamten Fahrdynamikregelung fuhrt Die Langsbe- 
schleunigung (a x ), die nur zur Schwimmwinkelschatzung 
verwendet wird, liegt hingegen physikalisch lediglich 

30 einkanalig vor. Bei Auftreten von Fehlern ergibt sich 
damit folgendes Reglerverhaltea 

Bei Auftreten eines Fehlers im Langsbeschleuni- 
gungskanal wird der Regler von seiner hdchsten Regel- 
gute n 4 n auf die nachst niedrige Regelgute "3" zuruckge- 

35 nommen, in welcher die Fahrdynamikregelung unter 
Verzicht auf den Schwimmwinkeischatzwert erfolgt Bei 
Auftreten eines ersten Fehlers in einer der vier anderen, 
fehlertolerant erfaBten ZustandsgroBen bleibt hingegen 
zunachst die bisherige Regelgute erhalten, und die Er- 

40 mittlung der betreffenden ZustandsgroBe degeneriert 

durch das fehlerbehandelnde Wegschalten des fehlerbe- » 
hafteten Kanals von zuvor fehlertolerant zu nunmehr 
nur noch fehlersicher. Tritt fOr die Querbeschleunigung 
(a y ) nach einem behandelten ersten Fehler ein zweiter 

45 Fehler auf, so wird der Fahrdynamikregler (2) auf die 
zweitniedrigste Regelgute (2) zuriickgenommen, in der 
die Fahrdynamikregelung eingeschrankt ohne die Quer- 
beschleunigungsinformation weitergefuhrt wird Hin- 
sichtlich der Langsgeschwindigkeit (v x ) sind Mehrfach- 

50 fehler wegen der vier vorhandenen Sensorkanale, die 
allerdings, wie gesagt, nicht gleichwertig sind trotz der 
Tatsache toierabel, daB es sich hier um eine wichtige 
ZustandsgroBe handelt Nach Auftreten eines Doppel- 
fehlers in der Langsgeschwindigkeitsermittlung wird 

55 der Fahrdynamikregler auf die niedrigste RegelgOtestu- 
fe n \ n zuriickgenommen, in welcher dann die Langsge- 
schwindigkeit zwar weniger gesichert, jedoch noch im- 
mer physikalisch zweikanalig vorliegt Bei Auftreten 
noch eines dritten Fehlers bei der Langsgeschwindig- 

60 keitsermittlung liegt daher die Langsgeschwindigkeits- 
information immer noch einkanalig vor, so daB die Fahr- 
dynamikregelung in dieser Regelgutestufe n l n weiterge- 
fiihrt werden kann. Im Gegensatz dazu ist hinsichtlich 
der ZustandsgroBen Lenkradwinkel (8l) und Gierwin- 

65 kelgeschwindigkeit ( bei denen es sich ebenfalls um 
sehr relevante ZustandsgroBen fur die Fahrdynamikre- 
gelung handelt, bei Auftreten eines zweiten Fehlers 
nach vormaliger Behandlung eines ersten Fehlers eine 
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Fortsetzung der Fahrdynamikregelung aus Sicherheits- 
griinden nicht mehr mdglich, da die betreffende Zu- 
standsgroBeninformation dann nicht mehr als gesichert 
betrachtet werden kann In diesem Fall wird der Notbe- 
trieb aktiviert Im Notbetrieb ist es dem Fahrer mdglich, 5 
das Fahrzeug in einen sicheren Zustand zu Qberfiihren, 
z. B. in den Fahrzeugstillstand 

Mit der beschriebenen Fahrdynamikregeleinrichtung 
wird somit fur wenigstens einen Teil der Zustandsgro- 
Ben eine auf einer physikalisch zweikanaligen Struktur io 
basierende Fehlertoleranz durch Erweiterung um einen 
analytischen Kanal gewonnen, der adaptiver Natur ist 
Im einem ersten Adaptionsgrad konnen unterschiedli- 
che Strategien in Anpassung an das jeweilige Fahrdyna- 
mikszenario verfolgt werden, innerhalb der sich in ei- \s 
nem zweiten Adaptionsgrad wiederum verschiedene 
Anpassungsmoglichkeiten unter Zunahme oder Abnah- 
me der Komplexitat dahingehend bieten, daB das jewei- 
lige, in einem Beobachter oder allein fur die abbildende 
Information verwendete Modell modifiziert wird. In ei- 20 
nem dritten Adaptionsgrad kann bei vorgegebenem 
Modell eine Variation der im Beobachter, insbesondere 
einem Kaiman-Filter, verwendeten Varianzen in Anleh- 
nung an das jeweilige Fahrdynamikszenario vorgesehen 
werden. In einem vierten Adaptionsgrad werden inner- 25 
halb des Beobachters fur die Fehlererkennung und -iso- 
lation verschiedene GroBen uberwacht, z. B. im Fall ei- 
nes Kalman-Filters Schatzwerte, Schatzwertfehler, Pro- 
jektionen von Schatzwerten auf MeBwerte, Residuen, 
Komponenten der Kovarianzen des Pradiktions- und 30 
Filterschatzwertes oder die Kalman-Verstarkung. Mit 
den genannten Adaptionen konnen zu Fehlalarmen fuh- 
rende Modellierungsf ehler minimiert werden, so daB ei- 
ne zuverlassige Erkennung und Isolation von Kleinst- 
fehlern uber den gesamten Fahrdynamikbereich erzielt 35 
wird. Als interessanter Zusatz besteht die Moglichkeit, 
fiir den in der ZustandsgroBenermittlungseinheit ver- 
wendeten Beobachter nicht die Minimierung des 
Schatzwertfehlers, sondern eine andere Aufgabe in den 
Vordergrund zu stellen, z. B. die Minimierung eines Re- 40 
sidiums im f ehlerf reien Fall bzw. die Bereitstellung einer 
hohen Empfindlichkeit gegenuber Kleinstfehlern der re- 
ievanten EingangsgroBen bei hoher Resistenz gegen- 
uber Schatzwertfehlern. Im Gegensatz zu herkdmmli- 
chen Systemen mit Fehlerlokalisation im Automobil, bei 45 
denen lediglich Fehler detektiert werden, die ein Verlas- 
sen des SensormeBbereichs bewirken, lassen sich mit 
der vorliegenden Einrichtung Kleinstfehler zuverlassig 
erkennen, lokalisieren und behandeln und Modeliie- 
rungsfehler weitestgehend unterdriicken. Es versteht 50 
sich, daB erfindungsgemaBe Fehlererkennungs, — isola- 
tions und -behandlungseinrichtungen der vorstehend 
beschriebenen Art nicht auf Fahrdynamikregelungen 
beschrankt sind, sondern sich auch fur einen Einsatz in 
anderen Systemen eignen, fiir die eine fehlertolerante 55 
Auslegung gewiinscht wird. 

Patentanspriiche 

1. Fehlertolerante Regel- und/oder Steuerungsein- 6 o 
richtung fur ein physikalisches System, insbesonde- 
re Fahrdynamikregeleinrichtung fur ein Kraftfahr- 
zeug,mit 

a) einer in Abhangigkeit von zugeftihrten Zu- 
standsgroBenwerten (z*, *) arbeitenden Regel- 6 f. 
und/oder Steuereinheit (2) und 

b) einer ZustandsgroBenermittlungseinheit (3) 
zur Ermittlung der der Regel- und/oder 
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Steuereinheit zuzufuhrenden Zustandsgrd- 
Benwerte, wozu die jeweilige ZustandsgroBe 
Qber einen oder zwei parallele physikalische 
Kanale gemessen und/oder Qber einen analyti- 
schen Kanal geschatzt wird, dadurch gekenn- 
zeichnet^daB 

c) die ZustandsgroBenerrnittlungseinheit (3) ei- 
ne Fehlerbehandlungseinheit (6), die steuerbar 
die Zufuhrung eines jeweiligen Zustandsgrd- 
Benwertes zur Regel- und/oder Steuereinheit 
(2) freigibt oder blockiert, und eine Fehlerer- 
kennungs- und -isoiationslogikeinheit (5) auf- 
weist, welche einen in einem Kanal auftreten- 
den Fehler erkennt und fiir wenigstens eine 
uber zwei parallele physikalische Kanale und 
einen analytischen Kanal redundant ermittelte 
Zustandsgr6Be einen erkannten Fehler mittels 
einer funktionale Redundanz erzeugenden 
Einheit oder einer Beobachtereinheit des ana- 
lytischen Kanals isoliert imd welche das Feh- 
lerbehandlungsfilter zur Blockierung des zum 
erkannten bzw. isolierten Fehler gehdrigen 
Kanals ansteuert, und 

d) die Regel- und/oder Steuereinheit zum Be- 
trieb in unterschiedlichen Regelgutestufen ab- 
hangig davon, welche der Kanale der Zu- 
standsgroBenermittlungseinheit als fehlerfrei 
erkannt sind, ausgelegt ist, wobei sie von der 
ZustandsgroBenermittlungseinheit jeweils 
zum Betrieb in derjenigen Regel- und/oder 
Steuenmgsgiitestuf e veranlaBt wird, die in Ab- 
hangigkeit von den momentan als fehlerfrei 
erkannten Kanalen noch maximal mdglich ist 

2. Regel- und/oder Steuerungseinrichtung nach An- 
spruch 1, weiter dadurch gekennzeichnet, daB eine 
der ZustandsgroBen nur einkanalig uber einen ana- 
lytischen Kanal ermittelt wird und die Fehlererken- 
nungs- und -isolationslogikeinheit (5) eine nicht 
mehr ausreichend zuverlassig mogliche Schatzung 
aufgrund eines oder mehrerer fehlerbehafteter Ka- 
nale fur die Ermittlung der EingangsgroBen dieses 
analytischen Kanals erkennt und daraufhin das 
Fehlerbehandlungsfilter (6) zur Blockierung der 
Weiterleitung des Ausgangssignals dieses analyti- 
schen Kanals zur Reglereinheit (2) ansteuert 

3. Regel- und/oder Steuerungseinrichtung nach An- 
spruch 1 oder 2, weiter dadurch gekennzeichnet, 
daB die Fehlererkennungs- und -isolationslogikein- 
heit (5) eine nicht mehr ausreichend zuverlassige 
und/oder gesicherte Regeiung durch die Reglerein- 
heit (2) aufgrund des Vorliegens eines oder mehre- 
rer fehlerbehafteter ZustandsgrdBenermittlungs- 
kanale erkennt und daraufhin die Beeinflussung des 
physikalischen Systems durch das Ausgangssignal 
der Reglereinheit unterbindet 

4. Regel- und/oder Steuerungseinrichtung nach ei- 
nem der Anspriiche 1 bis 3, weiter dadurch gekenn- 
zeichnet, daB die ZustandsgroBenermittlungsein- 
heit (3) eine gemeinsame Beobachtereinheit zur 
Uberwachung mehrerer physikalischer Kanale 
oder eine Beobachterbank mit jeweils einer Beob- 
achtereinheit zur Oberwachung eines jeweils zuge- 
ordneten physikalischen Kanals beinhaltet 

5. Regel- und/oder Steuerungseinrichtung nach ei- 
nem der Anspriiche 1 bis 4, weiter dadurch gekenn- 
zeichnet, daB sie eine Fahrdynamikregeleinrich- 
tung fur ein Kraftfahrzeug ist, wobei 

— der Lenkradwinkel (6l), die Gierwinkelge- 
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schwindigkeit ( \y\ die Querbeschleunigung 
(a y ) und die L&ngsgeschwindigkeit (v x ) als Qber 
jeweils wenigstens zwei physikalische Kanale 
und einen analytischen Kanal redundant ermit- 
telte Zus tandsgrdBen und der Schwimm winkel 5 
als wenigstens Ober einen analytischen Kanal 
geschatzte ZustandsgroBe faerangezogen wer- 
den und 

— die Reglereinheit (2) in verschiedenen Re- 
gelgutestufen abhangig vom Auftreten einer 10 
oder mehrerer Fehler in den ZustandsgroBen- 
ermittlungskanalen arbeitet 
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